Qua quá trình làm việc với Thây, chúng tôi đã học được rất nhiều kiến thức quan trọng về việc xác định các lỗ hông bảo mật, phân tích và đánh giá rủi ro, cũng như triển khai các biện p
Trang 1Wri viv nor
2009 THU DAU MOT UNIVERSITY
Ngành : Kỹ thuật phần mềm Giảng viên hướng dẫn : Lê Từ Minh Trí
Bình Dương , Tháng 5/2024
Trang 2
TRUONG DAI HOC THU DAU MOT VIEN KY THUAT CONG NGHE
DAI H1 OC
| int DAU MOT
2009 THU DAU MOT UNIVERSITY
ĐỎ ÁN MÔN HỌC
XÂY DỰNG GIẢI PHÁP BẢO MẬT
CHO WEBSITE BÁN GIÀY KING&SHOSE
SVTH: Ngô Nguyên Vũ Ma SV: 2124801030225 Nguyễn Tiến Dũng Mã SV: 2124801030236 Nguyễn Ngọc Dũng Mã SV: 2124801030025 Dương Ngô Chí Trung Mã SV: 2124801030218 Lớp : D2IKTPM02
Ngành : Kỹ thuật phần mềm Giảng viên hướng dẫn : Lê Từ Minh Trí
Binh Duong , Thang 5/2024
Trang 4
LỜI CẢM ƠN
Kính gửi Thầy Lê Từ Minh Trí,
Nhóm chúng em, xin gửi lời cảm ơn chân thành đến Thây vì sự hướng dẫn và giúp đỡ
quý báu Thầy đã trao cho chúng em trong môn học "An toàn bảo mật thông tin" Đặc
biệt, chúng em xin gửi lời cảm ơn sâu sắc với những giúp đỡ của Thầy trong quá trình
hoàn thành đề tài "Xây dựng giải pháp bảo mật cho website bán giày King&Shose"
Thây là một giảng viên xuât sắc và tận tâm, luôn truyền đạt kiên thức một cách rõ ràng
và chi tiết Nhờ sự chỉ dẫn tận tâm của Thây, chúng em đã năm vững các khái niệm cơ bản về an toàn bảo mật thông tin và áp dụng chúng vào dự án của mình
Qua quá trình làm việc với Thây, chúng tôi đã học được rất nhiều kiến thức quan trọng
về việc xác định các lỗ hông bảo mật, phân tích và đánh giá rủi ro, cũng như triển khai
các biện pháp bảo mật phù hợp cho hệ thông Thầy đã trang bị cho chúng tôi những kỹ năng cần thiết dé đảm bảo an toàn cho website bán giày King&Shose, từ việc xử lý
thông tin cá nhân, quản lý quyền truy cập, đến việc bảo vệ dữ liệu khách hàng và
phòng ngừa các cuộc tắn công từ bên ngoài
Đồng thời, chúng em cũng rất biết ơn sự tận tâm của Thây trong việc hướng dẫn chúng
em trong quá trình nghiên cứu và phân tích các giải pháp bảo mật hiệu quả Thay đã
luôn sẵn lòng trả lời những câu hỏi của chúng em và cung cấp những gợi ý quan trọng,
s1úp chúng tôi vượt qua những khó khăn trong quá trình thực hiện đề tài
Một lần nữa, chúng em xin chân thành cảm ơn Thầy Lê Từ Minh Trí vì những kiến
thức quý báu và sự hỗ trợ tận tâm đã truyền đạt cho chúng tôi Điều nảy sẽ luôn là một tài sản quý 214 trong su nghiệp và hành trình của chúng tôi trong lĩnh vực an toàn bảo
mật thông tin
Kính chúc Thầy sức khỏe đồi đảo và thành công trone công việc giảng dạy
Trân trọng,
iil
Trang 5LỜI NÓI ĐẦU
An toàn bảo mật thông tin là một lĩnh vực ngày cảng quan trọng trong thế giới kỹ thuật
sô hiện đại Trong một thời đại mà dữ liệu và thông tin trở thành tài sản vô cùng quý
gia, bao vé va dam bao tinh riéng tu của chúng trở thành một nhiệm vụ câp bách
An toàn bảo mật thông tin không chỉ đơn thuần là việc áp dụng một số biện pháp kỹ
thuật để ngăn chặn các cuộc tấn công mang hay ro ri thong tin Nó là một qua trinh
liên tục, bao gồm việc xác định, đánh giá và quản lý các rủi ro bảo mật, áp dụng các
biện pháp phòng ngừa và phục hồi, cùng với việc nắm bắt những xu hướng mới trong
lĩnh vực này
An toàn bảo mật thông tin đảm bảo tính toàn vẹn, sẵn sảng và tin cây của thông tin Nó bảo vệ thông tin tránh khỏi sự xâm phạm, sửa đôi trai phép, mat mat hoac tiét 16 trai
phép Đồng thời, nó cũng đảm bảo rằng chỉ những người được ủy quyên mới có thé
truy cập và sử dung thông tin
Trong một thé giới liên kết mạng ngày càng phức tạp và đa dạng, an toàn bảo mật
thông tin trở thành một thách thức không chỉ đối với các tổ chức và doanh nghiệp, mà
còn đối với mỗi cá nhân Mỗi ngày, chúng ta đều phải đối mặt với các mối đe dọa từ
virus, phan mềm độc hại, tân công mạng và việc lộ thông tin cá nhân
Với sự phát triển nhanh chóng của công nghệ va sir gia tăng của các cuộc tấn công
mạng tỉnh vi, việc hiểu và áp dụng các nguyên tắc và phương pháp an toàn bảo mật
thông tin trở thành một yêu cầu không thế bó qua Chỉ có thông qua việc xây dựng một
hệ thống an toàn và bảo mật thông tin, chúng ta mới có thê đảm bảo sự an tâm và tin
cây khi sử dụng công nghệ
Với sự nhận thức về tầm quan trọng của an toàn bảo mật thông tin, chúng ta có thé
bước vào một thế giới kỹ thuật số an toàn hơn, nơi thông tin cá nhân được bảo vệ,
doanh nghiệp tránh khỏi tôn thất và rủi ro, và mọi người có thể sử dụng công nghệ một cách tự tin và an tâm
Trang 6MỤC LỤC
0n) n0 iii
MỤC LLỤC uc 1 TH To HH H4 TT T10 030 001000 041019 4 Vv
DANH MUC HINHL csssssssssssssssssnssscsssnessnscnccssnsenscssesenscssesesscenccssceasecssceassenceseenseaseasees vii
DANH SÁCH CÁC KÝ TỰ, CHỮ VIẾT TẮTT -c-ecceese ssecses+ viii
1.1 Tổng quan về vân đề được nghiên cứu - 5c se E1 1 E211 E12 rte, 1
1.2 Nhiệm vụ đồ án - 02-52 25 212221222112212111221121112112111211211221211 1 ke 1 CHUONG 2 CO SO LY THUYET weed
2.1 An toàn thông tin cla Viét Nam hién nay cece eceeeteccesesenseneeeens 2
2.2 Khái niệm về bảo mật -¿- 2-52 22112112211221112112111221121121112122121 E1 re 2
PA No áo an da 2
2.2.2 Khái niệm lỗ hổng bảo mật - 2-52 ÉEEE1211211211112121.1 11 xe 3
2.2.3 Giới thiệu về hệ điều hành Windows l0 22-22¿22222222222221222 22.2 3
2.3 Các lỗ hồng bảo mật trên Windows lŨ ceccceeecescccccenteceeceseseessetsueecessees 6 2.4 Các lỗ hồng bảo mật WebsiIfe - LH HH KT ng tk nn ng 20x ky 7
P908) 5 7 2.4.2 Cross — Site Scripting (XS®) L0 2 TH HH HH ra 8 2.4.3 Cross — Site Request Forgery (CSRIF) L0 0 1212 HH ren 8
CHƯƠNG 3 GIẢI PHÁP BAO MAT WEBSITE 5-s° se se csscscsserscsee 9
3.1 Bảo mật HTTTPS 2- 22 22212221221122112712111111122110112211221121 2e 9 3.1.1 Khái niệm HTTPS - 22-222 222E221122211222122111221112711211121221222 E6 9
3.1.2 Lợi ích áp dụng HTTPS cho Website H&T óc 2222 khe 9
3.1.3 Triển khai HTTP§ 2: 5+ 22+ 2E225122211221122122111211221122112111221 2212 xe 9
3.2 Bảo mật 2 lớp ( Two — factor Authentication ) - 2c 222cc re 10
3.2.1 Khái niệm bảo mật 2 lớp -2- 2¿2222++22122E11222111512211211 27212 re 10
3.2.2 Các yếu tố xác thực s- s1 21121 1 1 1 HH H1 te 10 3.2.3 Triển khai bảo mật 2 lớp - ¿2s + EE21152111121221121111111 111tr 10
3.3 Mã hoá mật khâu trong cơ sở dữ liệu -: 1222122112 1212122 22t en 10
3.3.1 Giới thiệu về mã hoá mật khẩu trong CSDL - 5-2 c2 eEtzExzEcszxe 11
3.3.2 Các biện phap ma hoa ccc 2 2 2222212211 212221 1111511111511 151 121 E1 5xx ke II
Trang 7
CHUONG 4 KET QUA VA THU NGHIEM 13
4.1 OTP — Bảo mật 2 lớp - 5:1 2 1 12121151 15352212122121 2111112111121 151011 8x ray 13 4.2 Bảo mật website bằng giao thức HTTPS - St 2E 122.1111 21211 rke 13
4.3 Mật khâu được mã hoá trong CSDL - c1 22111212112 1151121 112181 Ekerkcey 13
Trang 8
Hệ điều hành Windows 1( s°-5° 2s csccsecsecseesersersereceerserecee 4
Giao diện chính của Windows ÍÍ co Y1 1 1 n1 1m96 5 Windows 10 Enterprise 6
Trang 9DANH SÁCH CÁC KÝ TỰ, CHỮ VIET TAT
Từ viết tắt Giải thích
SSL Secure Sockets Layer OTP One Time Password 2FA Two-Factor Authentication HTTPS Hypertext Transfer Protocol
Security XSS Cross — Site Scripting CSRF Cross — Site Request Forgery
vill
Trang 10CHUONG 1 TONG QUAN
1.1 Tổng quan về vẫn đề được nghiên cứu Tổng quan về vấn để được nghiên cứu cho đề tài "Xây dựng giải pháp bảo mật cho website bán giày Kinp&Shose" là tạo ra một hệ thống an toàn và đáng tin cậy để bao vệ thông tin và dữ liệu quan trọng của website bán giay King&Shose
Trong thời đại số hóa ngày nay, việc mua sắm trực tuyến trở nên phô biến và website bán hàng trực tuyến ngày càng phát triển Tuy nhiên, điều này cũng đồng
nghĩa với việc tăng cường nguy cơ liên quan đến an ninh thông tin và bảo mật dữ liệu
Các cuộc tấn công mạng, vi phạm quyền riêng tư và truy cập trái phép đã trở thành những mối đe dọa tiềm ấn đối với các website bán hàng trực tuyến, đặc biệt là những trang web có lượng ø1ao dịch lớn nhu King&Shose
Mục tiêu của đề tài là xây dựng giải pháp bảo mật toàn diện cho website bán giày Kineg&Shose, với mục đích đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của thông tin khách hàng, thông tin giao dịch và đữ liệu quan trọng khác Để đạt được mục tiêu này, việc nghiên cứu và triển khai các biện pháp bảo mật cần được tiến hành
1.2 Nhiệm vụ đồ án
Nhiệm vụ của đồ án "Xây dựng giải pháp bảo mật cho website bán giày Kine&Shose" là tạo ra một hệ thống bảo mật toàn diện cho trang web của King&Shose, nham dam bảo an toàn và bảo vệ thông tin quan trọng của khách hàng, théng tin giao dịch và dữ liệu liên quan
Cụ thể, các nhiệm vụ trong đỗ án có thể bao gồm:
- Cai dat giao thirc bao mat SSL/HTTPS trén website
- Hashing Password
- Cài đặt mã OTP
- Sử dụng Extenal Direct
- Sử dung Click jacking
Bằng cách hoàn thành các nhiệm vụ trên, điều này sẽ giúp tăng cường tính bảo mật của website giúp tăng sự tin tưởng của khách hàng và đảm bảo sự phát triển bền vững của doanh nghiệp trong môi trường kinh doanh trực tuyến
Trang 11CHƯƠNG 2 CƠ SỞ LÝ THUYẾT
2.1 An toàn thông tin của Việt Nam hiện nay
An toàn bảo mật thông tin, bảo mật thông tin trong doanh nghiệp, bảo mật hệ
thống, bảo mật thông tin app, bảo mật thông tin phan mềm là những khái niệm mà
mới đây tại Việt Nam mới bắt đầu quan tâm tới Hầu hết người dùng không nhận thức
rõ vai trò của việc bảo mật thông tin Điều đó cũng chính là lý do dẫn tới hàng ngàn chứng minh thư, bằng cấp, số thẻ bị đưa ra công khai
Hiểu được những rủi ro của việc an toàn thông tin các nhà lập trình ứng dụng và chuyên viên bảo vệ thông tin đang nỗ lực tiếp cận công nghệ mới để nâng cấp “hàng rào bảo vệ” cho các cá nhân, tô chức
Tại các hệ thống lớn, sẽ có đội ngũ IT Security chuyên đưa ra kế hoạch ứng phó
sự cố cũng như thiết lập các công cụ quản lý rủi ro để kiểm soát tình hình
Tuy nhiên, điều đó vẫn chưa đủ, số lượng hệ thống mới trên thị trường trong những năm sẵn đây tăng trưởng cực kỳ nhanh trong khi cơ sở hạ tầng tại Việt Nam không đáp ứng đủ Đây chính là thách thức mới mà chúng ta đang phải đối mặt
2.2 Khái niệm về bảo mật
2.2.1 An toàn thông tin
An toàn bảo mật thông tin là việc đảm bảo tính toàn ven, sẵn có và bảo mật của thông tin trong quá trình thu thập, lưu trữ, xử lý, truyền tải và sử đụng Nó bao gồm các biện pháp và quy trình được áp dụng để ngăn chặn truy cập trái phép, sửa đôi, tiết
lộ, mắt mát hoặc phá hoại thông tin
Các khía cạnh chính của an toàn bảo mật thông tin bao gồm:
- Tính toàn vẹn: Đảm bảo rằng thông tin không bị sửa đối trái phép hoặc thay đổi mà không được phép Các biện pháp như chữ ký số và kiểm tra tính toàn vẹn được
sử dụng để phát hiện bat ky su thay déi nao trong thong tin
- Tính sẵn có: Đảm bảo rằng thông tin có thể truy cập và sử dụng bởi những người được ủy quyền trong thời gian và địa điểm cần thiết Điều này có thể đảm bảo thông qua quản lý quyền truy cập, bảo mật vật lý và các biện pháp bảo vệ hệ thống
- Tính bảo mật: Bảo vệ thông tin khỏi truy cập trái phép và sử dụng trái phép Điều nảy bao gồm việc sử dụng các biện pháp bảo mật như mã hóa, xác thực người dùng, hệ thông kiêm soát truy cập và giám sát
- Tính riêng tư: Đảm bảo rằng thông tin cá nhân được bảo vệ và không tiết lộ cho bất kỳ ai không có quyền truy cập Việc tuân thủ quy định về bảo vệ dữ liệu cá nhân và quyền riêng tư là một phần quan trọng của an toàn bảo mật thông tin
- Tính linh hoạt: Khả năng thích ứng và điều chỉnh các biện pháp bảo mật theo
Trang 12thay đổi của môi trường hoặc mối đe dọa An toàn bảo mật thông tin cần được thiết kế
để đáp ứng các yêu cầu và môi trường kinh doanh thay đổi nhanh chóng
An toản bảo mật thông tin là một yếu tố quan trọng trong mọi tổ chức và hệ thông, bao gồm các doanh nghiệp, tổ chức chính phủ và cá nhân Nó giúp bảo vệ thông tin quan trong, ngăn chặn các tấn công mạng và đảm bảo sự tin cậy của hệ thống thông tin
2.2.2 Khái niệm lỗ hỗng bảo mật
Lỗ hông bảo mật là các điểm yếu hoặc thiếu sót trong hệ thống, mạng hoặc ứng dụng mà tin tặc có thể tận dụng để xâm nhập, truy cập trái phép hoặc tấn công hệ thông Đây là những điểm yếu trong cơ sở hạ tầng bảo mật mà có thê gây rủi ro và tiềm ấn nguy cơ mat thông tin, sự toàn vẹn của đữ liệu hoặc quyền riêng tư của n8ười dùng
Lỗ hông bảo mật có thê xảy ra ở tất cả các lớp bảo mật bao gồm: cơ sở hạ tầng, mạng và ứng dụng (application)
Có ba loại lỗ hông bảo mật:
- Lễ hồng loại C: cho phép thực hiện tấn công kiểu DoS (Denial of Services —
từ chối dịch vụ) làm ảnh hướng tới chất lượng dịch vụ, ngưng trệ, sián đoạn hệ thống, nhưng không phá hỏng dữ liệu hoặc đạt được quyền truy cập hệ thống
- Lễ hông loại B: lỗ hổng cho phép người sử dụng có thêm các quyền truy cập
hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin
- Lễ hông loại A: cho phép người ngoài hệ thông có thể truy cập bất hợp pháp vào hệ thông, có thể phá hủy toàn bộ hệ thống
2.2.3 Giới thiệu về hệ điều hành Windows 10
Windows 10 là phiên bản hệ điều hành tiếp theo của hãng phần mém Microsoft, được ra mắt vào năm 2015 Được thiết kế đề kết hợp những tính năng tốt nhất từ các phiên bản trước đó và mang đến một trải nghiệm người dùng tối ưu, Windows 10 là
một trong những hệ điều hành phô biến nhất trên thé giới
